Zum Hauptinhalt springen

7. Gekürztes HMAC

Derzeit definierte TLS-Cipher-Suites verwenden die MAC-Konstruktion HMAC mit MD5 oder SHA-1 [RFC2104], um die Kommunikation der Datensatzschicht zu authentifizieren. In TLS wird die gesamte Ausgabe der Hash-Funktion als MAC-Tag verwendet. In eingeschränkten Umgebungen kann es jedoch wünschenswert sein, Bandbreite zu sparen, indem die Ausgabe der Hash-Funktion bei der Bildung von MAC-Tags auf 80 Bit gekürzt wird.

Um die Verwendung von auf 80 Bit gekürztem HMAC zu verhandeln, KÖNNEN Clients eine Erweiterung vom Typ "truncated_hmac" in das erweiterte Client-Hello aufnehmen. Das Feld "extension_data" dieser Erweiterung MUSS leer sein.

Server, die ein erweitertes Hello mit einer "truncated_hmac"-Erweiterung erhalten, KÖNNEN der Verwendung eines gekürzten HMAC zustimmen, indem sie eine Erweiterung vom Typ "truncated_hmac" mit leerem "extension_data" in das erweiterte Server-Hello aufnehmen.

Beachten Sie, dass diese Erweiterung keine Wirkung hat, wenn neue Cipher-Suites hinzugefügt werden, die HMAC nicht verwenden, und die Sitzung eine dieser Cipher-Suites aushandelt. Es wird dringend empfohlen, dass alle neuen Cipher-Suites, die andere MACs verwenden, die MAC-Größe als integralen Bestandteil der Cipher-Suite-Definition betrachten und dabei sowohl Sicherheits- als auch Bandbreitenüberlegungen berücksichtigen.

Wenn die HMAC-Kürzung während eines TLS-Handshakes erfolgreich ausgehandelt wurde und die ausgehandelte Cipher-Suite HMAC verwendet, übergeben sowohl Client als auch Server diese Tatsache zusammen mit den anderen ausgehandelten Sicherheitsparametern an die TLS-Datensatzschicht. Anschließend MÜSSEN Clients und Server während der Sitzung gekürzte HMACs verwenden, die wie in [RFC2104] spezifiziert berechnet werden. Das heißt, CipherSpec.hash_size beträgt 10 Bytes, und nur die ersten 10 Bytes der HMAC-Ausgabe werden übertragen und überprüft. Beachten Sie, dass diese Erweiterung die Berechnung der Pseudo-Zufallsfunktion (PRF) im Rahmen des Handshakes oder der Schlüsselableitung nicht beeinflusst.

Die ausgehandelte HMAC-Kürzungsgröße gilt für die Dauer der Sitzung einschließlich Sitzungswiederaufnahmen.

Letztes Update am